مشکلات امنیتی CMS

آسیب پذیری جدید و حیاتی در جوملا

1 237

آسیب پذیری جدیدی در سیستم مدیریت محتوی Joomla (جوملا) گزارش شده است که به نفوذگران اجازه اجرای دستورات و کدهای مخرب از راه دور را فراهم می نماید.

 

 

joomla_hacked

 

 

آسیب پذیری مربوطه در هسته جوملا می باشد و بر روی نسخه های 1.5 تا 3.4.5 وجود دارد.

[20151201] – Core – Remote Code Execution Vulnerability

Posted: 14 Dec 2015 11:00 AM PST

  • Project: Joomla!
  • SubProject: CMS
  • Severity: High
  • Versions: 1.5.0 through 3.4.5
  • Exploit type: Remote Code Execution
  • Reported Date: 2015-December-13
  • Fixed Date: 2015-December-14
  • CVE Numbers:CVE-2015-8562

Description

Browser information is not filtered properly while saving the session values into the database which leads to a Remote Code Execution vulnerability.

Affected Installs

Joomla! CMS versions 1.5.0 through 3.4.5

Solution

Upgrade to version 3.4.6

Contact

The JSST at the Joomla! Security Centre.

 

آسیب پذیری فوق به خاطر فیلتر کردن ناصحیح اطلاعات browser  در دیتابیس می باشد که برای رفع این آسیب پذیری توصیه می گردد که جوملا را به آخرین نسخه (3.4.6) بروزرسانی نمایید.

به صورت پیش فرض در سیستم مدیریت محتوای حوملا اطلاعات نشست ( Session user ) را در بانک اطلاعاتی وب سایت ذخیره می کند.که نمونه ای از آن را می توانید در عکس ذیل مشاهده نمایید.

 

 

در صورتی که می خواهید مطمئن شوید که آیا از طریق این آسیب پذیری وب سایت شما مورد حمله هکران قرار گرفته است . در لاگ های وب سایت خود عبارت ذیل را جستجو نمایید.

 

 2015 Dec 12 16:49:07 clienyhidden.access.log clienyhidden.access.log 
Src IP: <b>74.3.170.33 / CAN / Alberta
 74.3.170.33 – – [12/Dec/2015:16:49:40 -0500] “GET /contact/ HTTP/1.1” 403 5322 
“http://google.com/” “}__test|O:21:\x22JDatabaseDriverMysqli\x22:3: .. 
{s:2:\x22fc\x22;O:17:\x22JSimplepieFactory\x22:0: .. {}s:21:\x22\x5C0\x5C0
\x5C0disconnectHandlers\x22;a:1:{i:0;a:2:{i:0;O:9:\x22SimplePie\x22:5:.. 
{s:8:\x22sanitize\x22;O:20:\x22JDatabaseDriverMysql\x22:0:{}s:8:\x22feed_url\x22;s:60:..

اگر شما از جوملا استفاده می نمایید، log های سایت را فورا بررسی نمایید. درخواست ها از ipهای ۱۴۶.۰.۷۲.۸۳ یا ۷۴.۳.۱۷۰.۳۳ یا ۱۹۴.۲۸.۱۷۴.۱۰۶ را به عنوان اولین ipهای شروع کننده exploit بررسی نمایید. همچنین توصیه می شود در log های سایت عبارت های JDatabaseDriverMysqli یا O: را جستجو نمایید. در صورتی که آن ها را پیدا کردید؛ سایت شما در معرض خطر می باشد و لازم است فورا بروزرسانی شود.

نحوه ایمن سازی جوملا در مقابل این مشکل امنیتی :

1- بروز رسانی به آخرین نسخه ارایه شده 3.4.6

2- یکی از راه های جلوگیری از این حمله استفاده از WAF (فایروال تحت وب) می باشد . در صورتی که از یکی از فایروال های تحت وب ModSecurity استفاده می کنید. از رول ذیل استفاده نمایید تا شما نیز از این حملات ایمن باشید.

#SecureHost.ir Hardening Security Team 
SecRule REQUEST_HEADERS "JDatabaseDriverMysqli" "phase:1,id:'999000',deny,t:urlDecode,t:removeNulls,status:403,log,noauditlog,msg:'Joomla RCE CVE-2015-8562'"

3- در صورتی که نمی خواهید که جوملای خود را بروز رسانی نمایید می توانید فایل های patch ذیل را دانلود نمایید و به جای فایل اصلی خود قرار دهید.

برای نسخه جوملا 1.5 فایل زیر را دانلود نمایید

session-1.5

برای نسخه جوملا 2.5 نیز فایل زیر را دانلود نمایید.

session-2.5

نویسنده : اسماعیل رحیمیان

در باره نویسنده / 

BlogAdmin

یک دیدگاه

  1. سعید دسامبر 20, 2015 در 3:46 ق.ظ -  پاسخ

    سپاس برای اطلع رسانی

ارسال پاسخ

ایمیل شما نمایش داده نمی‌شود. موارد مورد نیاز علامتگذاری شده است *